Hvorfor iKettle Hack burde bekymre dig (selvom du ikke ejer en)

IKettle er en WiFi-aktiveret kedel, der tilsyneladende fulgte med en massiv gabende sikkerhedsfejl, der havde potentiale til at sprænge hele WiFi-netværket.

IKettle er en WiFi-aktiveret kedel, der tilsyneladende fulgte med en massiv gabende sikkerhedsfejl, der havde potentiale til at sprænge hele WiFi-netværket.
Reklame

Når det kommer til Smart Home-teknologi, er der ingen mangel på produkter, hvis raison d'être er tvivlsomt, for at sige det mildt. Faktisk skrev jeg en hel artikel Tweeting Fridges og Web Controlled Rice Cookers: 9 af de dumeste Smart Hvidevarer Tweeting Køleskabe og Web Controlled Rice Cookers: 9 af de dumeste Smart Hvidevarer Der er mange smarte hjem enheder, der er værdige din tid og penge. men der er også slags, der aldrig bør se dagens lys. Her er 9 af de værste. Læs mere om dem i april i år. En af de enheder, jeg nævnte, var iKettle, ved Smarter Labs.

iKettle 2.0 (Leveres med UK Plug og kræver US Power Converter) iKettle 2.0 (Leveres med UK Plug og kræver US Power Converter) Køb nu på Amazon

IKettle er en WiFi-aktiveret kedel. Ja, du læser det rigtigt. Tilsyneladende er opgaven med at opvarme vand til kogepunktet noget, der kun kan opnås med WiFi-integration.

Åh, og nævntede jeg, at det kom med en massiv, gabende sikkerhedsfejl, der havde potentiale til at sprænge hele WiFi-netværket?

Hvordan angrebet fungerede

Ja, det viser sig, at iKettle ikke er for varmt ( undskyld ), når det kommer til sikkerhed. Med blot et par trin kan du overbevise det om at hoste brugerens WiFi-adgangskode. Så, hvordan laver du en kedel?

For det første skulle angriberen identificere et trådløst netværk med en iKettle tilsluttet. Derefter ville de oprette deres eget trådløse netværk ved hjælp af samme SSID.

ikettle-main

Når iKettle skifter til dette netværk, kan angriberen oprette forbindelse til det via port 23 ved hjælp af Telnet Hvad er Telnet og hvad er dets anvendelser? [MakeUseOf Forklarer] Hvad er Telnet & Hvad er dets anvendelser? [MakeUseOf Forklarer] Telnet er en af ​​de tekniske vilkår, du kan lejlighedsvis høre, men ikke i en annonce eller en funktion vaskeri liste over ethvert produkt du kan købe. Det er fordi det er en protokol eller et sprog ... Læs mere. Dette er et frit tilgængeligt værktøj, der ligner SSH, og giver brugerne mulighed for at styre computere eksternt.

IKettle vil så angribe angriberen for en sekscifret adgangskode. Dette kan være brutalt tvunget, men hvis kedlen blev oprettet med en Android-enhed, har den standardadgangskoden til 000000 . Når autentificeret, angriberen vil fortælle kedlen at liste sine indstillinger. På hvilket tidspunkt spytter det hele det cachelagrede WiFi-kodeord i almindelig tekst, så en angriber får adgang til hele netværket.

Problemet med ledelsen

En talsmand for Smartere Labs var ivrig efter at understrege, at en løsning på dette problem ikke er langt væk.

"Vi tager sikkerhed meget alvorligt her hos Smarter og har arbejdet sammen med vores ingeniører for at sikre, at vores nye produkter ikke støder på sikkerhedsproblemer. Vi opdaterer det udførte produkt i november for at udrydde dette problem. "

De understregede også, at den kommende iKettle ikke vil blive påvirket:

"Vores nye produkt og applikation har opdaterede sikkerhedsfunktioner, der ikke er relevante for [sårbarheden]."

Brugere med en berørt kedel kan opdatere den ved hjælp af iKettle-appen, der er tilgængelig til iPhone og Android. I mellemtiden kan det være fornuftigt at vedhæfte en anden router til dit hjemmenetværk med en anden SSID, og ​​tilslut din kedel til det. Du kan finde en perfekt router fra Amazon til så lidt som $ 10.

Denne episode minder os om, hvordan de smarte hjemmeprodukter, vi bruger, hovedsageligt er computere, og hvordan de står over for de samme sikkerhedsproblemer som traditionelle computere gør. Det er bizart at forestille sig, at nogen bruger Telnet til at oprette forbindelse til en kedel, men det er tilsyneladende noget.

Da Smart Home-feltet uundgåeligt modnes, vil producenterne være under stigende pres for at overveje deres enheders sikkerhed. Og når tingene går galt (som de uundgåeligt gør), kan de forvente at få deres fødder holdt over kulerne.

ikettle-låg

Fabrikanterne skal designe deres produkter for at være nemmere at nulstille og opdatere. De skal tage en proaktiv tilgang til sikkerheden af ​​deres enheder og arbejde sammen med sikkerhedsforskere. De bliver nødt til at lære at håndtere offentliggørelse Fuld eller ansvarlig offentliggørelse: Hvordan sikkerhedsproblemer er afsløret Fuld eller ansvarlig offentliggørelse: Hvordan sikkerhedsproblemer er afsløret Sikkerhedsproblemer i populære softwarepakker opdages hele tiden, men hvordan rapporteres de til udviklere, og hvordan lærer hackere om sårbarheder, som de kan udnytte? Læs mere og deres forhold til sikkerhedssamfundet Oracle vil du stoppe med at sende dem fejl - her er hvorfor det er skønt Oracle vil du stoppe med at sende dem bugs - her er hvorfor det er vanvittigt Oracle er i varmt vand over et misfornøjet blogindlæg af sikkerhedschef, Mary Davidson. Denne demonstration af, hvordan Oracle's sikkerhedsfilosofi afviger fra mainstream, blev ikke modtaget godt i sikkerhedssamfundet ... Læs mere, som nogle har fundet utroligt udfordrende at gøre.

Fabrikanter skal overveje, hvordan man sikrer deres enheder, hvis de går i stykker. Endnu vigtigere er de nødt til at skabe enighed med deres kunder om, hvor længe de forventes at opretholde et bestemt produkt.

Uplanlagt forældelse

En af mine venner har en mikrobølgeovn, der er bogstavelig talt gammel . Det lyder som hyperbolt, men det er det ikke. Han arvede det fra sine forældre, der igen købte det fra et nu-dækket stormarked i 1980'erne. Lad mig sætte det i kontekst: hans mikrobølgeovn er ældre end mig .

Men her er sagen; det er en helt passende mikrobølgeovn . Næsten tredive år kan det stadig omdanne et frosset lasagneforberedt måltid til en dampende pulje af smeltet ost, og det kan stadig nemt afrimme frosset kød. Der er bogstaveligt talt ingen grund til at erstatte det.

ikettle-mikrobølge

Det handler om traditionelle hvidevarer. De er ikke underlagt den samme cyklus af planlagt forældelse, du skal forbruge: Forbrugerelektronikens historie [Funktion], du skal forbruge: Historien om forbrugerelektronik [Funktion] Hvert år viser udstillinger verden rundt nye højteknologiske enheder; dyre legetøj, der følger med mange løfter. De sigter mod at gøre vores liv lettere, sjovere, superforbundne, og selvfølgelig er de status ... Læs mere at mest tech er. Der er ikke noget som en "køleopdateringscyklus". Der er ikke noget som en "to års opgradering" i hvidevarer verden.

En anden ting: Min venns mikrobølgeovn blev fremstillet i et land, der ikke længere eksisterer (Den Tyske Demokratiske Republik, også kendt som Østtyskland), af et firma, der ligeledes er ophørt med at eksistere. Men der er ingen hindring for ham at lave osteagtig mikrobølgeovn nachos, tredive år på.

Det er et andet spørgsmål for smart home tech. Det er højst sandsynligt, at din computeriserede kedel eller WiFi-aktiveret paraply vil kræve periodiske ydeevne og sikkerhedsopdateringer.

Problemet er, programmører er dyre, og det er fundamentalt urealistisk at forvente, at softwarefirmaer skal opretholde deres produkter på ubestemt tid. Til sidst skal de lade det gå, som Microsoft gjorde med Windows XP Hvad Windows XPocalypse betyder for dig Hvad Windows XPocalypse betyder for dig Microsoft vil dræbe support til Windows XP i april 2014. Dette har alvorlige konsekvenser for begge virksomheder og forbrugere. Her skal du vide, om du stadig kører Windows XP. Læs mere tidligt i 2014.

Så er det små spørgsmål om tech-virksomheder, der har en tendens til i sidste ende at implodere som The Death Star, der efterlader et bjerg af salgsfremmende bærbare klistermærker og nu ikke-understøttet kode i deres kølvandet. For at give dig kun tre (mange) eksempler, er der Silicon Graphics, Palm og Commodore.

Hvis du køber et produkt, der i sig selv har brug for en masse ledelse for blot at holde den sikker og fungere smidigt, tager du en gamble, som virksomheden holder fast for at understøtte den. Det er ikke altid et sikkert spil.

Beskytte internettet af ting

Lige nu er Tingets Internet en fremtrædende ide, der stadig er halvformet. Det er stadig meget et forsøg, med snesevis af spørgsmål, der stadig ikke er besvaret.

Bør fabrikanterne være ansvarlige for sikkerheden for de produkter, de sælger? I bekræftende fald, i hvilket omfang?

Skal et selskab med rimelighed forventes at støtte et IoT eller Smart Home-produkt? Hvis ja, hvor længe?

Hvad sker der, hvis fabrikanten fejler? Mange startups har lovet at frigive deres kode under det offentlige domæne, hvis de fejler. Skal de smarte hjemmeproducenter være tvunget til at gøre det samme?

Er der noget, forbrugerne kan gøre for at sikre, at deres hardware er sikker? Hvis ja, hvad?

Disse spørgsmål vil blive besvaret til tiden. Men indtil de er, formoder jeg, at flertallet af forbrugerne vil være tilbøjelige til at omfavne ting i verden.

Men hvad synes du? Giv mig en kommentar nedenfor, og vi vil chatte.

In this article